Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule wyjaśniono, jak usunąć usługę Defender for Containers z klastrów EKS i środowiska platformy AWS. Wykonaj następujące kroki, jeśli musisz całkowicie odinstalować usługę lub rozwiązać problemy z wdrażaniem.
Po włączeniu funkcji usługi Defender for Containers korzystających z automatycznej aprowizacji lub używaniu zaleceń do ręcznego wdrażania funkcji kontenera na określonych zasobach należy zainstalować składniki i rozszerzenia usługi Defender w środowisku. Aby ułatwić śledzenie tych składników, w poniższych sekcjach przedstawiono tabele pokazujące funkcję Defender for Clouds oraz zainstalowane składniki, rozszerzenia i role usługi Defender for Container.
Jeśli zdecydujesz się przestać korzystać z tych funkcji, możesz również usunąć te składniki ze środowiska. Ten artykuł ułatwia zrozumienie akcji, które można wykonać, aby je usunąć.
Składniki i role należą do dwóch kategorii typu usuwania:
- Bezpieczne do usunięcia — zasoby i ustawienia używane wyłącznie przez usługę Defender for Containers. Możesz bezpiecznie usunąć te zasoby, jeśli nie używasz już skojarzonej możliwości.
- Składnik udostępniony — zasoby, które mogą być używane przez rozwiązania inne niż Defender for Cloud lub inne rozwiązania usługi Defender for Cloud w docelowym środowisku chmury. Jeśli wyłączysz zasób udostępniony, inne rozwiązania mogą mieć negatywny wpływ. Przed usunięciem tych zasobów sprawdź, czy inne rozwiązania w tym środowisku chmury wymagają zasobu.
Scenariusze platformy AWS
Zasoby utworzone za pomocą skryptu CloudFormation
| Offering | Resource | Ręczne odłączanie | Informacje o usuwaniu |
|---|---|---|---|
| Ocena luk w zabezpieczeniach kontenera bez agenta | MDCContainersImageAssessmentRole | Usuwanie ról lub profilów wystąpień — zarządzanie tożsamościami i dostępem w AWS (amazon.com) | Bezpieczne do usunięcia |
| Udostępnione w ramach trzech ofert kontenerów. Ochrona przed zagrożeniami środowiska uruchomieniowego kontenera Automatycznie skonfiguruj czujnik programu Defender dla usługi Azure Arc Automatyczne aprowizuj rozszerzenie usługi Azure Policy dla usługi Azure Arc |
MDCContainersK8sRole | Usuwanie ról lub profilów wystąpień — AWS Identity and Access Management (amazon.com) | Bezpieczne do usunięcia |
| Ochrona przed zagrożeniami środowiska uruchomieniowego kontenera | MDCContainersK8sDataCollectionRole | Usuwanie ról lub profilów wystąpień — zarządzanie tożsamościami i dostępem platformy AWS (amazon.com) | Bezpieczne do usunięcia |
| Ochrona zagrożeń związanych z uruchamianiem kontenera | MDCContainersK8sCloudWatchToKinesisRole | Usuwanie ról lub profilów instancji — AWS Identity and Access Management (amazon.com) | Bezpieczne do usunięcia |
| Ochrona przed zagrożeniami środowiska uruchomieniowego kontenera | MDCContainersK8sKinesisToS3RoleName | Usuwanie ról lub profili instancji — AWS Identity and Access Management (amazon.com) | Bezpieczne do usunięcia |
| Odnajdywanie bez agenta dla platformy Kubernetes | MDCContainersAgentlessDiscoveryK8sRole | Usuwanie ról lub profilów instancji – AWS Identity and Access Management (amazon.com) | Bezpieczne do usunięcia |
| Dostawca tożsamości wymagany dla wszystkich składników usługi Defender for Cloud | ASCDefendersOIDCIdentityProvider | Usuń tylko wtedy, gdy wszystkie składniki usługi Defender for Cloud zostaną usunięte. Pobierz listę klientów dostawcy przy użyciu interfejsu API IAM platformy AWS. Użyj konsoli usługi AWS IAM lub interfejsu wiersza polecenia , aby usunąć dostawcę. | Współdzielony składnik |
Zasoby utworzone automatycznie po utworzeniu łącznika — AWS
| Offering | Resource | Ręczne odłączanie | Informacje o usuwaniu |
|---|---|---|---|
| Ochrona przed zagrożeniami środowiska uruchomieniowego kontenera | S3 |
Usuwanie zasobnika — Amazon Simple Storage Service Ten zasób jest tworzony dla każdego klastra. Konwencja nazewnictwa: azuredefender-<Region Name>-<AWS Account Id>-<Cluster Name> |
Bezpieczne do usunięcia |
| Ochrona przed zagrożeniami w czasie uruchamiania kontenerów | SQS |
Usuwanie kolejki Amazon SQS — Amazon Simple Queue Service Zasób ten jest tworzony dla każdego klastra. Konwencja nazewnictwa: azuredefender-<Region Name>-<AWS Account Id>-<Cluster Name> |
Bezpieczne do usunięcia |
| Ochrona przed zagrożeniami środowiska uruchomieniowego kontenera | Kinesis Data Firehose (Strumienie danych Amazon Kinesis) | Dla każdego klastra usuń strumień dostarczania Amazon Kinesis. Ten zasób jest tworzony dla każdego klastra. Konwencja nazewnictwa: arn:aws:firehose:< AWS Region>:< AWS Account Id>:deliverystream/azuredefender-< Cluster Name> |
Bezpieczne do usunięcia |
| Ochrona zagrożeń w czasie działania obciążeń roboczych Wzmacnianie płaszczyzny danych Kubernetes |
Platforma Kubernetes z włączoną usługą Azure Arc (łączy klastry EKS z platformą Azure) | Usuwanie platformy Kubernetes z włączoną usługą Azure Arc dla każdego klastra za pomocą interfejsu wiersza polecenia platformy Azure lub programu Azure PowerShell Uruchomienie tego polecenia powoduje usunięcie wszystkich zasobów związanych z usługą Arc, w tym rozszerzeń | Bezpieczne do usunięcia |
| Ochrona środowiska uruchomieniowego obciążenia przed zagrożeniami | Czujnik defendera | Usuń czujnik usługi Defender dla każdego klastra przy użyciu Azure portal, interfejsu wiersza polecenia platformy Azure lub interfejsu API REST | Bezpieczne do usunięcia |
| Wzmacnianie płaszczyzny danych Kubernetes | Rozszerzenie usługi Azure Policy | Usuwanie rozszerzeń usługi Defender dla każdego klastra przy użyciu witryny Azure Portal, interfejsu wiersza polecenia platformy Azure lub interfejsu API REST | Bezpieczne do usunięcia |
Usuwanie rozszerzeń z klastrów EKS
Usuwanie rozszerzeń przy użyciu interfejsu wiersza polecenia platformy Azure
az k8s-extension delete \
--name microsoft.azuredefender.kubernetes \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
--yes
Aby usunąć rozszerzenie usługi Azure Policy:
az k8s-extension delete \
--name azurepolicy \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
--yes
Odłączanie klastrów od usługi Azure Arc
az connectedk8s delete \
--name <cluster-name> \
--resource-group <resource-group> \
--yes
Wyłączanie planu usługi Defender
Korzystanie z witryny Azure Portal
Przejdź do Microsoft Defender for Cloud>ustawień środowiska.
Wybierz swoją subskrypcję.
Na stronie Plany usługi Defender przełącz pozycję Kontenery na wyłączone.
Wybierz Zapisz.
Usuwanie łącznika platformy AWS
Korzystanie z witryny Azure Portal
Przejdź do Microsoft Defender for Cloud>ustawień środowiska.
Znajdź łącznik platformy AWS.
Wybierz menu ... (więcej opcji).
Wybierz Usuń.
Potwierdź usunięcie.
Weryfikowanie usunięcia
Sprawdzanie zasobów platformy Azure
az k8s-extension list \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group>
Sprawdzanie klastrów EKS
kubectl get pods -n kube-system -l app=microsoft-defender
Po pomyślnym usunięciu nie należy zwracać żadnych zasobników.
Treści powiązane
- Wdrażanie usługi Defender for Containers — aby ponownie włączyć ochronę
- Wyświetl macierz obsługi kontenerów w usłudze Defender for Cloud.
- Omówienie usługi Defender for Containers — informacje o możliwościach